APT-Q-27 Malware-Kampagne zielt auf Web3-Kundensupport ab

Ruslan Mikhalov Leiter der Bedrohungsforschung bei SOC Prime

Folgen

APT-Q-27 Malware-Kampagne zielt auf Web3-Kundensupport ab

Detection stack

AIDR
Alert
ETL
Query

Bedrohungsbericht
Angriffsablauf
Erkennungen
Simulationen

Zusammenfassung

Ein finanziell motivierter Bedrohungsakteur, der als APT-Q-27 (auch bekannt als GoldenEyeDog) verfolgt wird, führt eine mehrstufige Malware-Kampagne durch, die bei Web3-Kundensupport-Chat-Interaktionen beginnt. Das anfängliche Lockmittel ist eine .pif-Datei, die als Screenshot getarnt ist und einen benutzerdefinierten .NET-Loader bereitstellt. Dieser Loader zieht zusätzliche Stufen von AWS S3, erstellt ein verstecktes Staging-Verzeichnis und nutzt DLL-Sideloading, indem er eine bösartige DLL mit einer legitimen YY-Plattform-Exe-Datei koppelt. Die letzte Stufe installiert eine Backdoor, die über einen nicht standardmäßigen TCP-Port kommuniziert und unauffälligen Fernzugriff über die typischen Webtraffic-Grundlinien hinaus ermöglicht.

Untersuchung

ZeroShadow analysierte mehrere Loader-Varianten, einschließlich Feedback.exe und photo2025060268jpg.exe, und ermittelte eine doppelte Base64-codierte C2-URL, die in der Kette eingebettet war. Reverse Engineering enthüllte die Entschlüsselungslogik des Loaders und den Sideloading-Workflow, der zur Ausführung verwendet wird. Analysten dokumentierten auch einen konsistenten Staging-Pfad-Marker, der „@27“ enthält, sowie einen Persistenzmechanismus über einen HKCU Run-Wert namens SystemUpdats. Die Backdoor wurde unter Verwendung eines fest codierten Satzes von 37 C2-IP-Adressen beobachtet, die über TCP 15628 kommunizieren und die Aktivität durch das Referenzieren von Microsoft-Update-URLs als Ablenkungsnetzwerk-Indikatoren verschleiern.

Minderung

Aktivieren Sie die vollständige Sichtbarkeit der Dateierweiterung und blockieren Sie die Ausführung von .pif-Dateien auf Endgeräten. Überwachen Sie die Erstellung versteckter Verzeichnisse unter Windows Update-Cache-ähnlichen Speicherorten und alarmieren Sie bei dem SystemUpdats Run-Schlüsselwert. Härten Sie UAC, indem Sie verhindern, dass Angreifer gleichzeitig die drei relevanten Richtlinienschlüssel nullen, und beschränken Sie ausgehende Verbindungen zu TCP 15628 an Ausgangspunkten. Erzwingen Sie die Überprüfung von Signaturen und überprüfen Sie signierte Binärdateien, die aus Nicht-System-Verzeichnissen gestartet werden, um das Risiko von DLL-Sideloading zu verringern.

Reaktion

Wenn Erkennungen ausgelöst werden, isolieren Sie den Endpunkt und bewahren sowohl Speicher- als auch Festplattenartefakte zur Überprüfung auf. Suchen Sie nach dem Staging-Verzeichnis mit „@27“, dem SystemUpdats Run-Schlüsseleintrag und verdächtigen DLLs, die mit der legitimen YY-Exe gekoppelt sind. Blockieren Sie die identifizierten C2-IPs/-Domains und implementieren Sie Anwendungssteuerungs-Richtlinien, die die Ausführung unsignierter oder nicht vertrauenswürdiger Binärdateien aus Benutzerprofilpfaden verhindern. Erweitern Sie die Untersuchung über die gesamte Flotte hinsichtlich derselben Persistenz- und Netzwerk-Muster, um weitere betroffene Hosts zu identifizieren.

"graph TB %% Klassendefinitionen classDef action fill:#99ccff classDef file fill:#ffcc99 classDef registry fill:#c2f0c2 classDef network fill:#ff99cc classDef builtin fill:#cccccc %% Knoten action_phishing_link["Aktion – T1204.001 Benutzeraktion: Bösartiger Link Täuschender URL in Live-Chat gesendet, Opfer klickt und lädt eine .pif-Datei namens photo2025060268jpg.exe herunter"] class action_phishing_link action file_pif["Datei – Name: photo2025060268jpg.exe Typ: .pif ausführbare Datei als Bild getarnt"] class file_pif file action_malicious_file["Aktion – T1204.002 Benutzeraktion: Bösartige Datei Die .pif wird ausgeführt, öffnet Paint mit einem gefälschten Fehlerbild und startet den Loader"] class action_malicious_file action file_loader["Malware – Name: Loader Verhalten: Entschlüsselt Payloads, startet updat.exe"] class file_loader builtin action_obfuscation["Aktion – T1027.008 Verschleierte Dateien oder Informationen Alle Strings, URLs und Payloads sind doppelt Base64-verschlüsselt"] class action_obfuscation action action_debugger_evasion["Aktion – T1622 Debugger-Umgehung Überprüft IsDebuggerPresent und Anrufstapel, beendet, wenn ein Debugger erkannt wird"] class action_debugger_evasion action action_persistence["Aktion – T1547.001 Registrierung Run-Schlüssel/Startup-Ordner Schreibt HKCUSoftwareMicrosoftWindowsCurrentVersionRunSystemUpdats → updat.exe in verstecktem Staging-Ordner"] class action_persistence action registry_run_key["Registrierung – Pfad: HKCUSoftwareMicrosoftWindowsCurrentVersionRunSystemUpdats Wert: updat.exe Pfad"] class registry_run_key registry file_updat["Datei – Name: updat.exe Ort: verstecktes Staging-Verzeichnis"] class file_updat file action_uac_bypass["Aktion – T1548.002 UAC-Umgehung Setzt EnableLUA, ConsentPromptBehaviorAdmin und PromptOnSecureDesktop in einer einzigen Transaktion auf 0"] class action_uac_bypass action action_appinit["Aktion – T1546.010 AppInit DLLs & T1546.009 AppCert DLLs updat.exe wird mit Arbeitsverzeichnis gesetzt auf Staging-Ordner gestartet, was einen bösartigen DLL-Ladevorgang verursacht"] class action_appinit action file_vcruntime["DLL – Name: vcruntime140.dll (bösartig)"] class file_vcruntime file file_msvcp["DLL – Name: msvcp140.dll (bösartig)"] class file_msvcp file file_crashreport["DLL – Name: crashreport.dll (bösartig)"] class file_crashreport file action_dll_sideload["Aktion – T1574.002 DLL-Sideloading Bösartige DLLs werden anstelle legitimer Laufzeitbibliotheken geladen"] class action_dll_sideload action action_c2["Aktion – T1571 Nicht-standardmäßiger Port & T1573 Verschlüsselter Kanal Backdoor stellt TCP-Verbindung zu C2 über Port 15628 her, Datenverkehr verschlüsselt, manifestiert von AWS S3"] class action_c2 action network_c2["Netzwerk – Protokoll: TCP Port: 15628 Endpunkt: C2-Server (AWS S3)"] class network_c2 network %% Verbindungen action_phishing_link –>|lädt herunter| file_pif file_pif –>|führt aus| action_malicious_file action_malicious_file –>|startet| file_loader file_loader –>|verwendet| action_obfuscation file_loader –>|verwendet| action_debugger_evasion file_loader –>|initiiert| action_persistence action_persistence –>|schreibt| registry_run_key registry_run_key –>|zeigt auf| file_updat file_updat –>|getriggert durch| action_uac_bypass action_uac_bypass –>|ermöglicht| action_appinit action_appinit –>|lädt| file_vcruntime action_appinit –>|lädt| file_msvcp action_appinit –>|lädt| file_crashreport file_vcruntime –>|trägt bei zu| action_dll_sideload file_msvcp –>|trägt bei zu| action_dll_sideload file_crashreport –>|trägt bei zu| action_dll_sideload action_dll_sideload –>|ermöglicht| action_c2 action_c2 –>|kommuniziert mit| network_c2 "

Angriffsablauf

Angriffsnarrativ & Befehle:
Ein Angreifer mit lokalen Administratorrechten versucht, UAC zu deaktivieren, um den Weg für weitere Privilegien-Eskalationswerkzeuge zu ebnen. Mit dem nativen reg.exe Hilfsprogramm (ein living-off-the-land-Binär), setzt der Angreifer die drei kritischen UAC-Richtlinienwerte auf 0 in schneller Folge (unter 30 Sekunden), um eine Erkennung durch manuelle Prüfverfahren zu vermeiden.
```
# Schritt 1 - Deaktivieren von UAC „EnableLUA“
reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem" /v EnableLUA /t REG_DWORD /d 0 /f

# Schritt 2 - Deaktivieren der Einwilligungsaufforderung für Admins
reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem" /v ConsentPromptBehaviorAdmin /t REG_DWORD /d 0 /f

# Schritt 3 - Deaktivieren des sicheren Desktops für UAC-Eingabeaufforderungen
reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem" /v PromptOnSecureDesktop /t REG_DWORD /d 0 /f
```
Diese drei Befehle erzeugen drei Registry-Ereignis Logs (EventID 4657 im Sicherheitskanal und die entsprechenden Microsoft-Windows-Registry/Operational Ereignisse) mit den Zielobjekt Pfaden und Details Werten, auf die die Sigma-Regel abgestimmt ist.

Regressionstest-Skript: Das folgende PowerShell-Skript führt die drei Schreibvorgänge mit einer 5-Sekunden-Pause dazwischen aus, um sich problemlos im 30-Sekunden-Fenster zu bewegen, und bietet gleichzeitig einen deterministischen Ausführungsfluss.

# Regressionstest - Deaktivieren von UAC über die Registrierung
$regPath = "HKLM:SOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem"

# Ursprüngliche Werte für die spätere Bereinigung speichern
$originalEnableLUA = (Get-ItemProperty -Path $regPath -Name EnableLUA -ErrorAction SilentlyContinue).EnableLUA
$originalConsent   = (Get-ItemProperty -Path $regPath -Name ConsentPromptBehaviorAdmin -ErrorAction SilentlyContinue).ConsentPromptBehaviorAdmin
$originalPrompt    = (Get-ItemProperty -Path $regPath -Name PromptOnSecureDesktop -ErrorAction SilentlyContinue).PromptOnSecureDesktop

# UAC deaktivieren
Set-ItemProperty -Path $regPath -Name EnableLUA -Value 0
Start-Sleep -Seconds 5
Set-ItemProperty -Path $regPath -Name ConsentPromptBehaviorAdmin -Value 0
Start-Sleep -Seconds 5
Set-ItemProperty -Path $regPath -Name PromptOnSecureDesktop -Value 0

Write-Host "UAC deaktiviert – Verifizierungsprotokolle sollten jetzt eingelesen werden."

Bereinigungsbefehle: Stellen Sie die ursprünglichen UAC-Einstellungen wieder her, um das System in den Status vor dem Test zurückzuversetzen.

# Bereinigung – Ursprüngliche UAC-Einstellungen wiederherstellen
$regPath = "HKLM:SOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem"

if ($null -ne $originalEnableLUA) { Set-ItemProperty -Path $regPath -Name EnableLUA -Value $originalEnableLUA }
if ($null -ne $originalConsent)   { Set-ItemProperty -Path $regPath -Name ConsentPromptBehaviorAdmin -Value $originalConsent }
if ($null -ne $originalPrompt)    { Set-ItemProperty -Path $regPath -Name PromptOnSecureDesktop -Value $originalPrompt }

Write-Host "UAC-Einstellungen auf ursprüngliche Werte zurückgesetzt."

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten